Опубликован: 15.10.2008 | Уровень: профессионал | Доступ: свободно
Лекция 10:

Описание Active Directory

< Лекция 9 || Лекция 10: 12345 || Лекция 11 >
Аннотация: В этой лекции рассматривается структура Active Directory, а также дается описание некоторых стратегий по структуризации базы данных Active Directory. Описывается также, как создавать запросы и использовать средства оснастки Active Directory Users and Computers для поиска информации

Active Directory (AD) - это база данных платформы Windows Server 2003. Active Directory содержит информацию о таких объектах, как сетевые учетные записи, группы, серверы и принтеры, а также другую информацию о домене. Active Directory поддерживается в Windows Server 2003 Enterprise Edition и Datacenter Edition. Active Directory нельзя установить на серверах Windows 2003 Web Edition.

Active Directory содержит иерархическую структуру для администратора, позволяющую организовывать объекты в его домене. Должное планирование структуры этого каталога позволяет администратору упростить делегирование администрирования и облегчить управление настольными системами.

Поскольку AD - это база данных LDAP (Lightweight Directory Access Protocol), вы можете реализовать запросы по объектам, содержащимся в этом каталоге. Имеются средства, с помощью которых вы можете применять фильтры к своим запросам, позволяющие сузить область поиска нужной вам информации.

В этой лекции рассматривается структура Active Directory, а также дается описание некоторых стратегий по структуризации вашей собственной базы данных Active Directory. Описывается также, как создавать запросы и использовать средства оснастки Active Directory Users and Computers для поиска информации.

Структура Active Directory

Active Directory позволяет вам использовать иерархическую структуру для организации объектов, содержащихся в вашем домене. Объектами могут быть, например, пользователи, принтеры и группы. В "Контроллеры доменов" описывается, как использовать DCPROMO для повышения статуса вашего рядового сервера Windows Server 2003 до уровня контроллера домена. После выполнения DCPROMO ваш сервер будет содержать установку по умолчанию Active Directory.

Оснастка Active Directory Users and Computers

Active Directory Users and Computers - это ваш интерфейс для управления объектами Active Directory, такими как пользователи, компьютеры и группы. Для просмотра вашей установки Active Directory выберите Start/Programs/Administrative Tools/ Active Directory Users and Computers (см. рис. 10.1).

Оснастка Active Directory Users and Computers выглядит аналогично Windows Explorer (Проводник). Она содержит значки папок и объектов, содержащихся в этих папках. Эти папки называются организационными единицами (OU) и контейнерами. Организационные единицы - это папки со значком книги в середине. AD поставляется с OU по умолчанию Domain Controllers (Контроллеры домена). Контейнеры - это папки, не содержащие какого-либо значка.

Средство управления Active Directory Users and Computers

Рис. 10.1. Средство управления Active Directory Users and Computers

Организационные единицы

OU - это объекты в Active Directory, которые могут определяться пользователем и к которым может применяться групповая политика. По умолчанию AD содержит OU Domain Controllers, куда включаются все контроллеры данного домена. Каждый раз, как вы запускаете DCPROMO на рядовом сервере домена, компьютерная учетная запись этого компьютера перемещается в OU Domain Controllers.

Администратор может также создавать организационные единицы (OU). Обычно OU создаются для упрощения административного управления доменом. Для создания OU выполните следующие шаги.

  1. Щелкните правой кнопкой на узле, для которого хотите создать OU (например, на узле домена) и выберите New/Organizational Unit (Создать/Организационная единица).
  2. В диалоговом окне New Object - Organizational Unit введите имя вашей OU. В данном примере используется OU Sales.
  3. Щелкните на кнопке OK.
  4. Диалоговое окно закроется, и вы увидите новую созданную OU под узлом домена.

Вы можете создавать вложенные OU, помещая их внутри этой OU, но обычно при создании структуры OU не рекомендуется создавать более 5 уровней вложенности.

Контейнеры

Контейнеры создаются системой Windows Server 2003 по различным причинам. По умолчанию создаются следующие контейнеры.

  • Builtin.Содержит несколько локальных в домене групп по умолчанию (подробнее см. в "Управление группами и организационными единицами" ).
  • Computers.По умолчанию при добавлении какого-либо компьютера в ваш домен учетная запись этого компьютера помещается в контейнер Computers. Вы можете в дальнейшем перемещать эти компьютерные учетные записи в созданную вами OU.
  • ForeignSecurityPrincipals.Содержит прокси-объекты для вашего домена, чтобы взаимодействовать с доменом NT 4 и нижележащими доменами как со сторонними доменами вне вашего леса.
  • Users.Контейнер по умолчанию для учетных записей Windows; в случае миграции из домена NT 4 здесь будут находиться ваши пользовательские учетные записи. При желании вы можете перемещать эти пользовательские учетные записи в другие OU.

Если выбрать View/Advanced Features (Вид/Дополнительно) в Active Directory Users and Computers, то вы увидите следующие дополнительные контейнеры.

  • LostAndFound.Содержит объекты, которые были удалены в данном домене, если объект был перемещен в OU или контейнер, удаленный до того, как была выполнена репликация каталога.
  • NTDS Quotas.В Windows Server 2003 добавлено несколько новых технологий, позволяющих задавать квоты на объекты Active Directory. В этом контейнере хранится информация о квотах служб каталога.
  • Program Data.Новый контейнер, введенный в Windows Server 2003, чтобы хранить политики управления авторизацией для приложений.
  • System.Содержит несколько дочерних контейнеров.
  • AdminSDHolder.Используется для управления полномочиями пользовательских учетных записей, которые являются членами встроенных групп Administrators или Domain Admins.
  • ComPartitionSets.Используется в разработке приложений; содержит информацию для наборов разделов COM+, что позволяет пользователям в этом домене выполнять доступ к службам приложения, которые предоставляются приложением COM+.
  • Default Domain Policy.Содержит группы безопасности и полномочия по умолчанию для вашего домена.
  • Dfs-Configuration.Содержит информацию по отказоустойчивой файловой системе Distributed File System (DFS). Сведения по DFS см. в "Управление файлами и дисками" .
  • DomainUpdates.Здесь создаются контейнеры, если у вас выполнена модернизация из Windows NT или Windows 2000 в Windows Server 2003.
  • File Replication Service.Содержит информацию по планированию репликации System Volume (SYSVOL) для вашего домена.
  • FileLinks.Используется службой Distributed Link Tracking для отслеживания информации по файлам, которые были перемещены на другие тома NTFS.
  • IP Security.Содержит политики IPSec для вашего домена, которые обеспечивают защищенный сетевой обмен информацией между компьютерами.
  • Meetings.Используется для хранения информации, относящейся к собраниям Microsoft NetMeeting.
  • MicrosoftDNS.В этом контейнере хранятся интегрированные с Active Directory зоны DNS. Здесь сохраняются записи всех зон, которые затем реплицируются на другие серверы DNS для той же зоны DNS в данном домене. Подробнее об интегрированных с Active Directory зонах DNS см. в "Ознакомление с DNS" .
  • Policies.Содержит объекты Group Policy (GPO) для вашего домена. Подробнее об объектах GPO см. в "Использование Group Policy для управления клиентскими и серверными машинами" .
  • RAS and IAS Servers Access Check.Содержит информацию по службам Remote Access Services (RAS) и Internet Authentication Services (IAS) для вашего домена.
  • RpcServices.Служба Remote Procedure Call Name Service для поиска в доменах для систем, предшествовавших Windows 2000.
  • Winsock Services.В этом контейнере публикуются основанные на применении сокетов службы, которые используют протокол Registration and Resolution Protocol.
  • WMIPolicy.Содержит объекты GPO Windows Management Instrumentation (WMI) для вашего домена. Фильтры WMI применяются только к Windows XP и последующим версиям.

Объекты Active Directory

Еще одним элементом, содержащимся в Active Directory, являются объекты. Объекты размещаются внутри организационных единиц и контейнеров Active Directory. Вы можете помещать объекты в определенной OU и определять групповую политику по этой OU, чтобы упрощать задачи администрирования или управлять компьютерной средой. К примерам объектов можно отнести принтеры, пользовательские учетные записи, компьютерные учетные записи и группы безопасности.

LDAP и Active Directory

Active Directory можно запрашивать с помощью протокола LDAP (Lightweight Directory Access Protocol), который поддерживается несколькими платформами. LDAP указывает путь именования, определяющий любой объект Active Directory, OU или контейнер. В этом разделе описываются пути именования, используемые для доступа к Active Directory.

Отличительные имена

Каждый объект в Active Directory имеет свое отличительное имя (DN - distinguished name). DN определяет полный путь LDAP для доступа к определенному объекту Active Directory. Любое DN содержит следующие атрибуты пути.

  • Доменный компонент (DC - Domain Component).Используется для определения компонента DNS-имени объекта Active Directory.
  • Организационная единица (OU).Организационная единица.
  • Общее имя (CN - Common Name).Объект, отличный от DC или OU; например, CN можно использовать для определения компьютерной или пользовательской учетной записи.

Ниже приводится пример того, как выглядит DN для организационной единицы Domain Controllers в Active Directory для вымышленного домена company.com:

OU=Domain Controllers, DC=company,DC=dom

Так что же описывает это DN? Глядя на него, вы можете сказать, что организационная единица Domain Controllers находится в домене company.com.

В качестве еще одно примера предположим, что у вас имеется структура OU Sales в домене company.com. Внутри OU Sales находится еще одна OU с именем West. Внутри OU West у вас имеется учетная запись с именем Mary Smith. Для доступа к этой учетной записи используется следующее DN:

CN=Mary Smith,OU=West,OU=Sales, DC=company,DC=dom

Как видно из этих примеров, описание DN дается снизу вверх по пути в Active Directory, начиная с объекта и вплоть до корня домена.

Относительные отличительные имена

Относительное отличительное имя (relative distinguished name) в пути LDAP содержит информацию об объекте Active Directory в контексте текущего рассматриваемого пути. Если взять предыдущий пример получения объекта с помощью отличительного имени (DN) для пользовательской учетной записи Mary Smith, то DN описывалось как

CN=Mary Smith,OU=West,OU=Sales, DC=company,DC=dom

Относительное отличительное имя для этого объекта

CN=Mary Smith
< Лекция 9 || Лекция 10: 12345 || Лекция 11 >
Игорь Ермачков
Игорь Ермачков
Латвия, Рига
Александр Демиденко
Александр Демиденко
Россия, Брянск